800 561720
Entro il 17 gennaio 2025 ed il 28 febbraio 2025 i soggetti rientranti nell’ambito di applicazione della Direttiva “NIS 2” sono obbligati a registrarsi sull’apposita piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN). Dal primo dicembre è divenuta applicabile la Determinazione con cui l’Autorità ha comunicato le modalità di utilizzo di tale piattaforma. L’inosservanza delle indicazioni dell'ACN può dar luogo a pesanti sanzioni amministrative pecuniarie. Come comportarsi? Vediamo insieme le indicazioni operative dell’Agenzia e come fare a registrarsi.
Quadro normativo e obblighi previsti
La Direttiva UE 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (a seguire, per semplicità “NIS 2”) prevede specifici obblighi applicabili a tutti i soggetti che si riconoscono in uno dei settori/sottosettori/tipologie di organizzazioni previste dalla nuova normativa e, ove richiesto, presentino i requisiti dimensionali stabiliti espressamente dall’articolo 3.
I principali adempimenti previsti, in estrema sintesi, riguardano:
- la trasmissione di determinate informazioni alle Autorità competenti, mediante l’apposita procedura di registrazione;
- l’aggiornamento delle informazioni oggetto di registrazione, ove necessario;
- la formazione e alfabetizzazione del management e del personale dipendente in materia di sicurezza informatica;
- l’individuazione di un responsabile per la gestione dei processi di adeguamento alla NIS 2 e, più in generale, la gestione dei ruoli e delle responsabilità, a partire dagli organi direttivi e di amministrazione;
- la valutazione del rischio informatico, delle potenziali minacce e contromisure;
- l’implementazione dei requisiti relativi alle misure di sicurezza minime;
- la segnalazione degli eventuali incidenti informatici;
- per alcuni soggetti, la raccolta ed il mantenimento dei dati di registrazione dei nomi di dominio;
- etc.
L’obbligo di registrazione. Chi è tenuto a registrarsi al portale ACN? Entro quando?
Fra gli obblighi sopracitati, l’articolo 27 della NIS 2 e, a livello nazionale, l’articolo 7 del Decreto di recepimento (D. lgs.138/2024), prevedono che i soggetti rientranti nella Direttiva trasmettano agli Stati Membri determinate categorie di informazioni. Fra queste vi rientrano, ad esempio, la ragione sociale, l'indirizzo e i recapiti aggiornati, la designazione di un Punto di contatto, con l’indicazione del suo ruolo/qualifica presso il soggetto.
L’invio dei dati deve essere effettuato mediante la piattaforma digitale ACN, rispettando i seguenti termini:
- i soggetti che si riconoscono in uno dei settori/sottosettori/tipologie di organizzazioni previste dalla NIS 2, dovranno registrarsi sulla piattaforma dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del Decreto - quindi entro il 28 febbraio 2025;
- i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell'ambito di applicazione del Decreto dovranno registrarsi sulla piattaforma di ACN entro il 17 gennaio 2025.
Cosa succede in caso di mancata registrazione, di registrazione tardiva o non conforme?
Attraverso la “Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale” n. 38565 del 26 novembre 2024, l’ACN ha chiarito le modalità di registrazione alla piattaforma, le informazioni da trasmettere ed il procedimento da seguire. Il portale, attivo dal primo dicembre 2024, è raggiungibile cliccando qui. Una volta effettuato l’accesso, la procedura risulta relativamente rapida (indicativamente un quarto d’ora può essere sufficiente a completare il processo).
Vi sono, tuttavia, dei requisiti preliminari e delle informazioni da conoscere prima di iniziare la compilazione. In caso di “inosservanza delle modalità [di compilazione, n.d.r."> stabilite dall'Autorità nazionale competente NIS”, infatti, sono previste sanzioni pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l'esercizio precedente dell’organizzazione soggetta alla Direttiva. Le stesse sanzioni, peraltro, sono previste anche in caso di “mancata registrazione, comunicazione o aggiornamento delle informazioni”.
I requisiti preliminari. L’individuazione del Punto di contatto
Come anticipato, prima di procedere con la registrazione, è necessario individuare la figura che rivestirà il ruolo di “Punto di contatto” con l’Agenzia. Il Punto di contatto è il soggetto a cui spetta il compito principale di curare l'attuazione delle disposizioni normative per conto dell’organizzazione, a partire dalla registrazione sino alle interlocuzioni con l’Autorità competente.
Come previsto dalla Determinazione dell’Agenzia, “Le funzioni di punto di contatto possono essere svolte dal rappresentante legale del soggetto NIS, da uno dei procuratori generali del soggetto NIS o da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo.” In quest’ultima casistica, il Punto di contatto dovrà caricare anche il titolo giuridico che lo legittima ad agire per conto dell’organizzazione soggetta a NIS 2.
L’articolo 4 della Determinazione include anche ulteriori indicazioni, applicabili qualora l’organizzazione sia parte di un gruppo di imprese o sia una pubblica amministrazione. In ogni caso, l’ente o l’impresa soggetta a NIS 2 dovrà anche assicurarsi di:
- provvedere a nominare la figura prescelta a Punto di contatto quale autorizzato al trattamento dei dati, ai sensi dell’articolo 29 del Regolamento UE 2016/679 (GDPR), ove necessario;
- fornire adeguate istruzioni all’autorizzato nominato, in merito alle corrette modalità di trattamento dei dati personali in funzione del ruolo di Punto di contatto;
- coinvolgere il DPO, ove designato, in tutto il processo.
Come registrarsi?
Come illustrato da ACN, la registrazione è composta da tre fasi, che consistono nel censimento iniziale del Punto di contatto, nell’associazione del Punto di contatto all’organizzazione soggetta a NIS 2 e nella compilazione della dichiarazione.
FASE 1: accesso e censimento del Punto di contatto
In primo luogo, il Punto di contatto è tenuto ad accedere al portale ACN (https://portale.acn.gov.it/login) tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID) e a completare la propria scheda anagrafica.
Qualora un utente non possa disporre di credenziali SPID, può autenticarsi con credenziali personali seguendo la distinta procedura di accesso mediante richiesta di credenziali personali.
FASE 2: associazione al soggetto
A questo punto, una volta censito il Punto di contatto, lo stesso è tenuto ad effettuare l’associazione della propria utenza con il soggetto che lo ha designato. In questa fase è necessario indicare il codice IPA (per le pubbliche amministrazioni) o il codice fiscale (per i soggetti pubblici e privati), nonché il titolo giuridico che lo legittima ad agire per conto dell’organizzazione soggetta a NIS 2 (a meno che Punto di contatto non sia lo stesso legale rappresentante o un procuratore generale).
Le prime due fasi di censimento del Punto di contatto e di associazione all’organizzazione terminano con l’invio di un link con la richiesta di convalida al domicilio digitale indicato dal soggetto stesso.
FASE 3: registrazione / compilazione della dichiarazione
Gli utenti designati, censiti e associati, possono quindi procedere alla compilazione della dichiarazione per conto dell’organizzazione designante, ai fini della sua registrazione.
La dichiarazione da completare è divisa in quattro sezioni relative a contesto, caratterizzazione, tipologie di soggetto e autovalutazione. In questa fase è necessario che il Punto di contatto abbia a disposizione, almeno:
- l’elenco dei codici ATECO relativi alle attività svolte ed ai servizi erogati dal soggetto;
- le normative europee settoriali che si applicano al soggetto e che hanno determinato la necessità di recepire la Direttiva;
- numero di dipendenti, fatturato e bilancio del soggetto;
- l’elenco delle tipologie di soggetto di cui agli allegati alla NIS 2 (I, II, III e IV), a cui è riconducibile l’organizzazione;
- l’autovalutazione del soggetto quale essenziale, importante o fuori ambito.
Completata la compilazione, il Punto di contatto deve prendere visione del riepilogo delle informazioni fornite, verificare la correttezza delle stesse, accettare le clausole previste e trasmettere la dichiarazione all’Agenzia (che si riserva, ai sensi dell’articolo 11 del Decreto, di effettuare “Verifiche di coerenza”, ovvero controlli a campione sulla veridicità delle informazioni contenute nelle dichiarazioni).
Step finali e considerazioni: fra privacy e cybersecurity
Al termine dell’iter, l’ACN comunica ai soggetti che hanno completato la procedura di registrazione l'inserimento, o meno, nell'elenco dei soggetti NIS 2. Qualora venga confermato l’inserimento, nel mese di aprile 2025 verrà trasmesso al domicilio digitale dei soggetti NIS 2, ed ai rispettivi Punti di contatto, un codice identificativo univoco, in modo da facilitare le interlocuzioni con l’Agenzia.
Completato l’adempimento della registrazione, passo cruciale nell'attuazione della Direttiva, l’organizzazione soggetta a NIS 2 dovrà curare attentamente l’implementazione della norma e coinvolgere il DPO, ove necessario. Come abbiamo visto in questo articolo, infatti, la figura del Responsabile della Protezione dei Dati è essenziale, in quanto la compliance normativa richiede, oggi più che mai, un approccio integrato fra privacy e cybersecurity.
